アクセス ポリシーのプロビジョニング

特定のユーザおよびユーザ グループにアクセス ルールを適用します。 デバイスとユーザを関連付けるためのポリシーは、詳細レベル(デバイスおよびポート)で実行できます。 各ユーザには、ジョブを行うために必要なデバイスとアプリケーションに対してのみアクセス権が与えられます。
capam33
特定のユーザおよびユーザ グループにアクセス ルールを適用します。 デバイスとユーザを関連付けるためのポリシーは、詳細レベル(デバイスおよびポート)で実行できます。 各ユーザには、ジョブを行うために必要なデバイスとアプリケーションに対してのみアクセス権が与えられます。
ポリシー
は、許可されている、または必要とされていることを識別する設定値のセットです。
  • アクセス タイプ
    (アクセス方法アプレット、TCP/UDP、およびアプリケーション サービス)
  • アクセス制限
    (コマンド フィルタ、ソケットフィルタ)
  • パスワード
    (デバイスと常駐するアプリケーションを含む)
  • 記録
    (グラフィカルまたはコマンド ライン)
ポリシーは次のものの間の相互作用を指定します。
  • 1 つの登録されたユーザまたはユーザ グループ(LDAP、RADIUS を含む)
および
  • 1 つの管理されているデバイスまたはデバイス グループ
ポリシーの割り当てを使用してデバイスにユーザがログインした後に、アプライアンスでは以下のことが可能となります。
  • ユーザ アクティビティの記録
  • コマンド フィルタリングの実行
  • ユーザ リープフロッグ(飛び越し)試行の終了
アクセスのプロビジョニング
デバイスに提供するアクセス機能は、ポリシーの仕様に使用できます。 デバイスのアクセス機能の設定に関する情報は、「ターゲット デバイスへのアクセスのセットアップ」を参照してください。
アクセス制限
ポリシーによって、デバイスまたはデバイス グループのアクセスに対する以下の制限を、特定のユーザまたはユーザ グループに課すことができます。
  • コマンド フィルタリング
  • ソケット フィルタリング
コマンド フィルタリング
コマンド フィルタ リストを使用して、コマンド ライン アプレットの TELNET、SSH、およびシリアル コンソールでポリシーを実行できます。
コマンド フィルタリングとソケット フィルタリングの両方が、ホワイトリストとブラックリストを使用して適切なポリシーを設定します。
  • コマンド フィルタリングの
    ブラックリスト
    は、ユーザが入力
    できない
    コマンドのリストです。 ユーザがそのコマンドを入力しようとした場合に、アプライアンスはそのコマンドの処理をフラグ(ログ)、アラート、修復、および停止することができます。 その他のすべてのコマンドは許可されています。
  • コマンド フィルタリングの
    ホワイトリスト
    は、ユーザが入力
    できる
    コマンドのリストです。 その他のすべてのコマンドは禁止されています。
コマンド フィルタのホワイトリストは、メインフレーム TN3270 および TN5250 アプレット用に設定できません。
コマンド フィルタ設定(CFC)では、ブラックリストおよびホワイトリストのコマンド フィルタの動作を設定します。
コマンド フィルタのアラートの例
From: [email protected]
To: [email protected]
Cc:
Subject: Alert Msg from xsuite1
-------------------------------------------------------------------------------
Date/Time: Fri, 1 Oct 2010 14:09:05
User ID: Traveler123
User Source IP: 168.0.2.123
Violation on: LinuxBox12
Captured Keystrokes: rlogin
ソケット フィルタリング
SFA (Socket Filter Agent、ソケット フィルタ エージェント)は
CA Privileged Access Manager
のコンポーネントで、サーバ ベースのデバイスへの、またはサーバ ベースのデバイスからのアクセスを制限するために使用します。 ソケット フィルタは、コマンド フィルタリングを適用するルータおよびスイッチといった有限のコマンド セットを持つデバイスの異なる種類のアクセス制御を提供します。
3 つのコンポーネントが必要です。
  • ソケット フィルタ リスト - ソケットのブラックリスト(アクセスが禁止される場所を指定)またはホワイトリスト(アクセスが許可される場所を指定)のいずれかを定義します。
  • ソケット フィルタ エージェント - ソケット フィルタ リストによって指定され、ポリシーで使用されるルールを適用します。
  • ソケット フィルタの設定 -
    CA Privileged Access Manager
    管理デバイスの全体にわたってソケット フィルタ エージェントを使用してエージェントの動作を適用します。
ソケット フィルタ リスト(SFL)
ソケット フィルタ リストは、リープフロッグ(飛び越し)を防止するためのポリシーに適用できるサーバまたはネットワークのグループを定義します。
ソケット フィルタ エージェント(SFA)
ソケット フィルタ エージェントが展開されて、ユーザが
CA Privileged Access Manager
経由でホスト デバイスに接続すると、SFA によってユーザ ポリシーがダウンロードされます。 SFA は次にブラックリストまたはホワイトリスト フィルタをデバイスに適用します。 ブラックリストにはユーザがアクセスできないようにされるデバイスおよびポートが含まれます。 ホワイトリストは、ユーザが接続できるデバイスとポートのみを特定します。 SFA は、プロダクション Web トラフィックまたは制限されていない 
CA Privileged Access Manager
 ユーザといった、そのデバイスへの他の接続を検査または妨害しません。
Windows および Linux デバイスに SFA をインストールすることができます。 Linux ルート アカウントは SFA ルールおよび制限の対象外です。 Windows 管理者アカウントは、SFA ルールおよび制限に従います。
ソケット フィルタの設定(SFC)
ソケット フィルタ エージェントの動作に影響するグローバル値は[ポリシー]メニューからアクセス可能な[ソケット フィルタの設定]にあります。
CA Technologies
は、ソケット フィルタリングを設定する前に組織のポリシーを検証することを推奨します。 ネットワークのハートビート チェックが許可されていない可能性があります。
Amazon Web Services (AWS)
[設定]-[サードパーティ]-[AWS 設定]-
[ポリシー]
-
[ポリシー管理]
を入力後に AWS へ接続すると、
[AWS ポリシー]
リンク インターフェースが確立されて、AWS IAM ポリシーを指定できます。
AWS ポリシーの定義
AWS ポリシーは、AWS の管理インターフェースへのアクセス時に、AWS 権限に対して適用されます。 最初に、編集ウィンドウの
[AWS ポリシー管理]
は、2 つのデフォルト バージョンを保持していますが、IAM ポリシーの作成または編集を行うことができます。
CA Privileged Access Manager
は IAM ポリシーを AWS に渡すように設計されていますが、AWS は「長すぎる」
AWS ポリシー
は受け入れません。 長さの制限は予測可能な値ではありませんが、エラーを回避するために、処理前に AWS によって評価することができます。 そのため、
CA Privileged Access Manager
 はすべての提出済みのポリシーを AWS へ前処理用に送信します。 サイズ制限を超過した場合、エラー メッセージは、
CA Privileged Access Manager
 ユーザに中継されます。
回避策:
この AWS フォーラムのスレッドで、許可されている長さに関していくつかのガイダンスが提供されています。
https://forums.aws.amazon.com/thread.jspa?threadID=80882
AWS ポリシーの指定
AWS の管理インターフェースにアクセスするためのサービス設定が完了すると、[ポリシー管理]インターフェースの認証情報指定のポップアップ ウィンドウで、ポップアップ ウィンドウの右側にある
[AWS ポリシー]
フィールドを使用して IAM ポリシー仕様が提供されます。
セッション記録
事前に適用されるアクセス制御に加えて、事後にユーザ アクションのビューを提供するセッションの記録をポリシーに割り当てることができます。 記録として、接続セッション中に発生した状況を把握できるビューを提供するユーザの環境をシミュレートします。
特権管理者はまた、セッション中に制御を適用し、接続セッションを終了またはユーザを
CA Privileged Access Manager
からログオフさせます。
CA Privileged Access Manager
ログ記録はその他のリソースのセッション追跡中またはその後に行われます。
コマンド ラインのアプレットでは、TELNET、SSH、およびコンソールのユーザ キーストロークを記録できます。 グラフィカルなセッションの記録は、RDP および VNC のアプレットで使用可能です。
記録は、GUI で行項目として識別されます。 これらは変数テキスト フィルタリングで検索できます。 記録がユーザの違反を識別すると、この記録をユーザが表示したときにこの事実がマークされます。 行項目レコードはまた、赤の太字で強調表示されます。
セッション記録のログは 
CA Privileged Access Manager
 に格納されません。 セッション記録ファイルは、マウント ポイントに格納されるか、または syslog 統合サーバに送信されます。
管理インターフェースで使用可能にするセッション記録用の Windows または UNIX サーバにマウントされているディレクトリを使用します。 セッション記録は、[
セッション
]-[
セッション記録
]で表示できます。
セッション記録のポリシーは、ユーザ/ユーザ グループ - デバイス/デバイス グループのペアに対し、
[ポリシー]-[ポリシー管理]
で設定されます。
記録
]ペイン内:
  • コマンド ライン
    の選択はユーザ エントリを記録し、
    双方向
    を選択すると、
    CA Privileged Access Manager
     はユーザとデバイスの両方の応答を記録します。
  • グラフィカル
    を選択すると、任意の時点での再生、停止、および任意の時点からのリプレイが可能なビデオとして Windows サーバと GUI の相互作用を記録します。